Important note about SSL VPN compatibility for 20.0 MR1 with EoL SFOS versions and UTM9 OS. Learn more in the release notes.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 38 subscribers
  • Views 5974 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ASG 8.x und Cisco 800 Series VPN DMZ

FischerFrank
Hallo,
ich hoffe das mir jemand helfen kann oder mir nen passenden "wink" mit dem Zaunpfahl geben kann [:)]

Folgendes Szenario  in Betrieb ist eine ASG 8.3x mit 3 Interfaces ( LAN 1 Intern , LAN 2 DMZ , LAN 3 WAN )

Internet und VPN alles funktioniert.

Jetzt mein Problem
auf der DMZ hängt eine Cisco 800 Box, die soll bzw muss per VPN erreichbar sein also habe ich alles was Entsprechend benötigt wird weiter geleitet 1:1 an die Cisco box.

Protokoll   Port
---------   ----
GRE (47)
ESP (50)
AH  (51)
udp (17)    500,4500
tcp (6)     10000


Hintergrund Firma X greift per VPN auf diese Box zu um später über diese wieder ins Netzwerk LAN 1 zu kommen. ( gaga ich weiß aber wird so gewünscht )

Allerdings wird keine Verbindung aufgebaut, hat mir jemand einen Tip?
Weiterleitung funktioniert da auf gleichem Weg, SSH auf das System also der Cisco möglich ist.

gruß und danke 
Frank


This thread was automatically locked due to age.
Parents
  • 0
    (Sorry, Frank, my German-speaking brain isn't working at the moment. [:(])

    "Anti-DoS/Flooding da ist alles inaktiv." - Thanks for confirming.  Most people don't realize that disabling IPS doesn't disable the selections on that tab.

    There isn't very much information in the Firewall Live Log - it's always better to post the same lines from the full log file.  Just guessing...

    The first line shows there's a NAT rule, and the packet likely is allowed to the internal server by a separate firewall rule.  The second line is from the same remote IP, and it's trying to reset the connection because it didn't get a response from the connection it initiated with the first packet.  I guess 18.x.y.223 is the remote Cisco, and 21.x.y.115 is the IP of "External (Address)" - and that they trying to configure the Cisco inside your network.  Maybe you could try a temporary rule: '{Cisco} -> Any -> {18.x.y.223} : Allow'.

    I think you have everything correct in the Astaro for IPsec and that they need to fix the Cisco configurations.  They should check their IPsec logs to confirm, but I think I know what's happening.  The Cisco in your location is using its IP address as part of the authentication calculation, so, as soon as the remote Cisco gets the final message in Phase 1, it discards it because the encrypted IP doesn't match the source of the packet.

    This would be easy to fix if they had an Astaro on their end. [;)]

    MfG - Bob (Bitte auf Deutsch weiterhin !)
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hallo Bob,

    bei Network Security => Firewall habe ich DMZ ( Network ) ANY => Internet IPV4
    eingetragen und Aktiv.

    logfiles bereit ich vor und schick sie mal zu.

    This would be easy to fix if they had an Astaro on their end

    TRUE !!!!



    gruß 
    Frank
Reply
  • 0 in reply to BAlfson
    Hallo Bob,

    bei Network Security => Firewall habe ich DMZ ( Network ) ANY => Internet IPV4
    eingetragen und Aktiv.

    logfiles bereit ich vor und schick sie mal zu.

    This would be easy to fix if they had an Astaro on their end

    TRUE !!!!



    gruß 
    Frank
Children
No Data
Unfiltered HTML